Compartir comentarios
Las respuestas se generan en base a la documentación.

Infraestructura inmutable

Tabla de contenidos

La infraestructura inmutable es un modelo de operaciones y seguridad donde los componentes, como servidores, contenedores e imágenes, nunca se modifican después de su despliegue. En lugar de parchear o reconfigurar sistemas activos, los reemplazas por completo con nuevas versiones.

Al utilizar Docker Hardened Images, la inmutabilidad es una mejor práctica que refuerza la postura de seguridad de tu cadena de suministro de software.

Por qué es importante la inmutabilidad

Los sistemas mutables son más difíciles de asegurar y auditar. Los parches en vivo o las actualizaciones manuales introducen riesgos como:

  • Desviación de la configuración (configuration drift)
  • Cambios no registrados
  • Entornos inconsistentes
  • Mayor superficie de ataque

La infraestructura inmutable resuelve esto al realizar cambios únicamente a través de construcciones y despliegues controlados y repetibles.

Cómo admiten la inmutabilidad las Docker Hardened Images

Las Docker Hardened Images están construidas para ser mínimas, bloqueadas y no interactivas, lo que desalienta la modificación en caliente. Por ejemplo:

  • Muchas imágenes DHI excluyen shells, gestores de paquetes y herramientas de depuración
  • Las imágenes DHI están diseñadas para ser escaneadas y firmadas antes de su despliegue
  • Se anima a los usuarios de DHI a reconstruir y volver a desplegar imágenes en lugar de parchear contenedores en ejecución

Este diseño se alinea con las prácticas inmutables y garantiza que:

  • Las actualizaciones pasen por el pipeline de CI/CD
  • Todos los cambios estén versionados y sean auditables
  • Los sistemas se puedan restaurar o reproducir de manera consistente

Patrones inmutables en la práctica

Algunos patrones comunes que aprovechan la inmutabilidad incluyen:

  • Reemplazo de contenedores: En lugar de iniciar sesión en un contenedor para corregir un error o aplicar un parche, reconstruye la imagen y vuelve a desplegarla.
  • Infraestructura como Código (IaC): Define tu infraestructura y configuraciones de imagen en archivos bajo control de versiones.
  • Despliegues Blue/Green o Canary: Lanza nuevas imágenes junto a las antiguas y transfiere gradualmente el tráfico a la nueva versión.

Al combinar los principios de infraestructura inmutable con imágenes endurecidas, creas un flujo de trabajo de despliegue predecible y seguro que resiste manipulaciones y minimiza el riesgo a largo plazo.